Industrielle Netzwerke, Produktionsanlagen und Automatisierungssysteme fallen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) unter den Begriff Industrial Control Systems (ICS). Mit Blick auf den Bericht zur Lage der IT-Sicherheit hat man hier eine separate Empfehlung zu dem Thema Fernwartung im Produktionsumfeld herausgegeben. Wir möchten uns dies gemeinsam anschauen und einige Fakten und Empfehlungen genauer unter die Lupe nehmen.
Für mich ist eine der ersten Auffälligkeiten in dieser Ausarbeitung, dass der Begriff „Wildwuchs“ also das Thema „Gewachsene Strukturen“ an mehreren Stellen beschrieben wird. Im Grunde das Unwort für IT-Abteilungen – aber in vielen Unternehmen der Standard. Verschiedenste Anlagen, dadurch eine Vielzahl von Herstellern, die alle eine eigene bevorzugte Fernwartungs-Lösung nutzen oder voraussetzen. Da hier ein hohes Maß an Know-how für Pflege und Administration aufgebracht werden muss und einige Lösungen sehr komplex erscheinen, vereinfachen sich die eigentlichen Anwender den Ablauf durch keine, gleiche oder zu kurze Passwörter.
In der Empfehlung möchte man auf verschiedene Lösungen aus dem Umfeld Fernwartung im industriellen Umfeld eingehen, unabhängig von Anbieter und Lösungsweg. So werden verschiedene Lösungen wie VPN, Cloud-basiert, Provider- und M2M-Lösungen angesprochen. Ich werde mir hier einen direkten Bezug auf die von uns eingesetzten Lösungen erlauben. Festzuhalten aber ist, dass wir die Empfehlung, Speicherprogrammierbare Steuerungen (SPS) nicht direkt per Modem oder sonstiger Komponenten direkt mit den World Wide Web zu verbinden, nur unterstützen können.
Aufbau und Architektur
Im Bereich Architektur wird direkt auf eine einheitliche Lösung hingewiesen, also eine Lösung für alle Hersteller der Komponenten, um möglichst nur ein System auf dem aktuellen Stand halten zu müssen. Des Weiteren die Installation eines Fernwartungs-Zuganges in einer DMZ (Demilitarized Zone, Netzwerk mit technisch kontrollierten Zugriffsmöglichkeiten). Hier empfiehlt sich der Einsatz kombiniert mit einer eigenen Firewall und ein zielgerichteter Zugang auf direkte Komponenten (IP-Adressen oder gar kombiniert mit Ports). Der Zugriff sollte stets verschlüsselt und Punkt-zu-Punkt erfolgen. Die Fernwartung sollte genau diesen Punkt abdecken und nicht noch zusätzlich tausend weitere Funktionen übernehmen. Auch ein Aktivieren, falls benötigt, und abschalten, wenn nicht benötigt, kann hier schon Tore schließen.
Geschützte Kommunikation
Bei der Kommunikation soll auf sichere und etablierte Protokolle geachtet und bei der Verschlüsslung auf mind. 192Bit AES gesetzt werden.
Legitimation und Authentisierung
Bei der Authentisierung sollten ebenfalls einige Punkte beachtet werden, so z.B. ein Zugang je Benutzer und keine Misch-Accounts. Es sollte definitiv ein Zwei-Faktor-Verfahren genutzt werden. Eine erhöhte Passwortsicherheit sollte inzwischen in allen Bereichen zum Standard gehören. Hier gibt es viele Hilfsmittel und z.B. Webseiten welche solche Services bieten:
https://www.passwort-generator.com/ ebenso wird eine Angriffserkennung und Alarmierung empfohlen.
Anforderungen an Planung, Umsetzung und Pflege
Gerade hier darf man sich nicht nur auf die Technik verlassen. Denn diese sollte nur als Unterstützung gesehen werden. Zudem gehören die Abläufe, Prozesse und nicht erst seit DSGVO die Übersicht, wer wo zugreifen darf oder muss, mit dazu. Gerade das Thema Dauerzugriff vs. Einsatz-Notwendigkeit sollte in der Planung mit beachtet werden. So kann z.B. im Unterstützungsfall per Button, Schlüsselschalter oder auch Zeitsteuerung die Fernwartung aktiviert werden. Auch sollten klare Regeln und Nutzungsempfehlungen ausgesprochen und definiert werden, welche auch das Thema Updates und Passwort-Sicherheit mit einbeziehen. Auch das Thema Analyse, Alarmierung und Logs der Datenzugriffe ist in einen Entscheidungs- und Umsetzungsplan zu berücksichtigen.
Sonstiges
Unter dem Punkt Sonstiges werden Beispiele aufgeführt, welche für mich aber eher unter dem Punkt ToDos für Projekte im Allgemeinen zu verbuchen sind. Gerade im IT-Umfeld ist es Voraussetzung, die Themen Skalierbarkeit, Investitionsschutz und Hochverfügbarkeit von Anfang an im Auge zu behalten. Im Abschluss der Empfehlung geht es noch einmal um das Thema Cloud-basierte Lösungen. Hier wird der Weg über eine Private-Cloud (nicht öffentliche Cloud, bzw. nur für bestimmte Anwendungen und Anwender genutzte Server-Infrastruktur) angesprochen und empfohlen.
Wie können diese Empfehlungen umgesetzt werden?
Wir möchten für diese Empfehlungen und Beispiele die Fernwartungslösung unseres Partners Tosibox Oy vorstellen und in Beziehung setzen. Hierzu nutzen wir die Einzelthemen aus der Empfehlung des BSI und erklären die Funktionen der Tosibox-Lösung in Bezug auf die einzelnen Punkte. Hinweis: Tosibox hat keine spezielle Freigabe oder Empfehlung vom BSI.
1. Architektur
a. Einheitliche Lösung: Tosibox ist nicht auf Hersteller oder Protokolle limitiert, bietet aber dank seiner Funktionen von Feldbus-Systemen bis hin zu modernsten TCP/IP Anwendungen eine einfache Fernwartungs-Lösung.
b. DMZ: Der Einsatz in einer bestehende DMZ wird von Tosibox empfohlen, das System kann aber auch autark beitrieben werden.
c. Granularität der Kommunikationsverbindungen: Mit entsprechender Infrastruktur lässt sich die Tosibox-Lösung nicht nur auf Netzwerke, sondern auf IP-/Mac-Filter aber auch auf Port-Ebene beschränken.
d. Verbindungsaufbau: Durch den begleitenden Verbindungsaufbau und die Punkt-zu-Punkt Verbindung werden nur Standard-Ports genutzt und es muss kein Eingriff in die Kunden-Firewall erfolgen.
e. Dedizierte Systeme: Die Tosibox-Lösung ist für verschlüsselte Fernwartung und Fernübertragung gedacht und wird auch so genutzt.
2. Sichere Kommunikation
a. Sichere Protokolle: Die Basis der Verbindung ist ein VPN-Tunnel mit den aktuellsten Anforderungen und es werden nur etablierte Protokolle, welche sich über Jahre bewährt haben, eingesetzt.
b. Sichere Verfahren: Es kann aktuell eine AES256 Bit Verschlüsslung genutzt werden.
3. Authentisierungsmechanismen
a. Granularität der Accounts: Der Zugriff erfolgt über persönliche Keys, kann somit schnell generiert, dokumentiert aber auch im Notfall deaktiviert werden.
b. Starke Authentisierungsmechanismen: Tosibox setzt auf eine Zwei-Faktor-Authentifizierung und Tokens mit Krypto Prozessor.
c. Passwortsicherheit: Die Passwörter können frei vergeben werden, es gibt keine Standard-Passwörter. Für jedes Gerät wird ein individuelles Passwort durch Tosibox vergeben, welches dann durch den Kunden angepasst werden kann.
d. Angriffserkennung: Tosibox blockt unautorisierte Zugriffe und lässt den Verbindungaufbau nicht zu. Zudem wird eine eigene Firewall genutzt um nur berechtigte Anfragen zu bearbeiten.
4. Organisatorische Anforderungen:
a. Risikoanalyse: Hier unterstützen die Tosibox-Partner und Mitarbeiter.
b. Minimalitätsprinzip: Hier unterstützen die Tosibox-Partner und Mitarbeiter, auch bei der Analyse oder mit der Erfahrung aus vielen Jahren und über tausende von internationalen Projekten.
c. Prozesse: Auch hier unterstützt das Tosibox eigene Benutzermanagement, so ist das hinzufügen aber auch das entziehen von Rechten sehr einfach und schnell zu realisieren.
d. Inventarisierung: Alle Tosibox Systeme können eindeutig identifiziert werden.
e. Zeitfenster: Die ist über die Tosibox Rechte aber auch durch Maßnahmen wie Verbindungsaufbau über I/Os realisierbar.
f. Funktionsprüfung: Die Tosibox-Infrastruktur überprüft die Funktionen und Erreichbarkeit regelmäßig um einen 24/7-Support zu realisieren.
g. Vorgaben für Fernwartende: Für Zugriffe von Dritten, können Zugriffe mit limitierten Rechten realisiert werden, z.B. nur Zugriff auf eine bestimmte Komponente im Netzwerk.
h. Patchprozess: Tosibox bietet regelmäßig Updates an, welche Automatisch oder manuell ausgeführt werden können.
i. Logging & Alerting: Die zentrale Server Komponenten (Central Lock und Virtual Central Lock) können als Log für die Zugriffe und auch als Alarmierungsoption genutzt werden, z.B. bei Verbindungsausfall usw.
5. Sonstiges
a. Skalierbarkeit: Tosibox kann von einer 1:1-Verbindung bis zu vielen tausenden Geräten eingesetzt werden. Das System wächst mit Ihren Anforderungen.
b. Investitionsschutz: Auf die bestehende Hardware kann weiter aufgebaut werden, ein Upgrade oder das Skalieren heißt nicht neue Hardware, sondern erweitern der bestehenden Tosibox Lösung.
c. Hochverfügbarkeit: Tosibox bietet einen 24/7-Zugriff und Projekte auf der ganzen Welt untermauern die Hochverfügbarkeit der Tosibox Lösung.
Wir freuen uns auch im Jahre 2019 auf viele neue Projekte und darauf, bestehende Partner weiterhin mit den Lösungen von Tosibox zu unterstützen.
Mit freundlichen Grüßen
Sebastian Fieber
